Mô hình chia sẻ trách nhiệm bảo mật và ứng dụng điện toán đám mây

Mặc dù nhiều người thừa nhận rằng hầu hết các sự cố bảo mật do điện toán đám mây gây ra đều liên quan đến việc cấu hình sai của người dùng, nhưng nhìn nhận kỹ hơn thì vấn đề là các doanh nghiệp chưa hiểu rõ mô hình chia sẻ trách nhiệm bảo mật trong ứng dụng điện toán đám mây. Theo một báo cáo ESG gần đây, 33% doanh nghiệp chỉ dựa vào nhà cung cấp dịch vụ để bảo vệ dữ liệu ứng dụng thường trú trên SaaS của họ.

Điều quan trọng là phải hiểu mô hình chia sẻ trách nhiệm, hiểu rõ nhiệm vụ bảo mật nào do nhà cung cấp dịch vụ điện toán đám mây (CSP) xử lý và nhiệm vụ nào thuộc trách nhiệm của người dùng khi xem xét và đánh giá các dịch vụ đám mây công cộng. thuộc vào việc hệ thống được vận hành dưới dạng phần mềm Dịch vụ (SaaS), Nền tảng dưới dạng Dịch vụ (PaaS), Cơ sở hạ tầng dưới dạng Dịch vụ (IaS) hoặc trong trung tâm dữ liệu tại chỗ, khối lượng công việc được chia sẻ cho mỗi bên sẽ khác nhau.

Với trung tâm dữ liệu tại chỗ, người dùng sở hữu toàn bộ mọi thứ nên sẽ chịu trách nhiệm từ A đến Z. Khi chuyển sang đám mây, một số trách nhiệm sẽ được chuyển giao cho CSP. Các lĩnh vực trách nhiệm được chia sẻ giữa khách hàng và Microsoft theo kiểu dịch vụ điện toán đám mây được sử dụng trong sơ đồ dưới đây.

Khách hàng luôn sở hữu dữ liệu và danh tính của mình trong tất cả các loại triển khai đám mây. Họ chịu trách nhiệm bảo vệ tính bảo mật của dữ liệu và danh tính, tài nguyên tại chỗ và các thành phần đám mây mà họ điều chỉnh (thay đổi thuộc vào loại dịch vụ).

Bất kể loại triển khai nào, khách hàng luôn là người chịu trách nhiệm về các hạng mục sau: dữ liệu, thiết bị đầu cuối, tài khoản, quản lý truy cập.

Những lợi ích về an ninh bảo mật của đám mây

Đám mây mang lại những lợi thế đáng kể để giải quyết những thách thức lâu dài về bảo mật thông tin. Trong môi trường tại chỗ, các tổ chức có thể có thể không hoàn thành hết các trách nhiệm bảo đảm an ninh và các nguồn lực sẵn có không đủ để đầu tư vào bảo mật, dẫn đến một môi trường nơi những kẻ tấn công có thể khai thác các lỗ hổng ở tất cả các lớp. Sơ đồ sau đây minh cách tiếp cận truyền thống, trong đó nhiều trách nhiệm bảo mật không được đáp ứng do nguồn lực hạn chế. Với việc sử dụng điện toán đám mây, doanh nghiệp có thể chuyển một phần trách nhiệm bảo mật hàng ngày cho nhà cung cấp đám mây và phân bổ lại tài nguyên của mình.

Mặt khác, công ty có thể tận dụng các khả năng bảo mật dựa trên đám mây để đạt được hiệu quả cao hơn và sử dụng thông tin tình báo trên mạng để rút ngắn thời gian phát hiện và phản hồi mối đe. Công ty có thể bao phủ nhiều phạm vi bảo mật hơn bằng cách chuyển trách nhiệm sang nhà cung cấp đám mây, cho phép họ phân bổ lại tài nguyên bảo mật và ngân sách cho các ưu tiên kinh doanh khác.

Những điều cần biết về mô hình chia sẻ trách nhiệm bảo mật

Điều quan trọng là phải xem xét các mô hình dịch vụ đám mây khác nhau sẽ ảnh hưởng như thế nào đến chi phí, tính đơn giản sử dụng, quyền riêng tư, bảo mật và tuân thủ khi các tổ chức xem xét và đánh giá các dịch vụ đám mây công cộng. Khách hàng phải xem xét cách thức mà nhà cung cấp giải pháp đám mây (CSP), những người sẽ kích hoạt giải pháp điện toán an toàn, quản lý để bảo mật và duy trì tuân thủ. Thật không may, nhiều doanh nghiệp hiểu sai rằng sau khi chuyển sang đám mây, vai trò của họ trong việc bảo mật dữ liệu sẽ chuyển phần lớn các trách nhiệm tuân thủ và bảo mật cho CSP.

Amazon tuyên bố chịu trách nhiệm "bảo vệ phần cứng, phần mềm, mạng và cơ sở chạy các dịch vụ Đám mây AWS" trong mô hình chia sẻ trách nhiệm bảo mật AWS. Microsoft Azure thì khẳng định quyền sở hữu bảo mật đối với "máy chủ vật lý, mạng và trung tâm dữ liệu." Cả AWS và Azure đều nêu rõ rằng nhu cầu bảo mật của khách hàng được xác định bởi các dịch vụ họ chọn.

Các nhà cung cấp đám mây phải đảm bảo bảo mật cho các yếu tố nhất định, chẳng hạn như cơ sở hạ tầng vật lý và các yếu tố mạng, nhưng khách hàng phải nhận thức được trách nhiệm của chính họ. Mặc dù CSP có thể cung cấp các dịch vụ bảo vệ dữ liệu, nhưng khách hàng phải hiểu vai trò của họ trong việc bảo vệ tính bảo mật và quyền riêng tư của dữ liệu. Ví dụ minh tốt nhất cho vấn đề này liên quan đến việc triển khai chính sách mật khẩu; nếu người dùng không sử dụng mật khẩu phức tạp hoặc khó đoán, biện pháp bảo mật tốt nhất của CSP cũng sẽ bị đánh bại.

Một số trách nhiệm yêu cầu CSP và khách hàng quản lý và thực thi trách nhiệm cùng nhau, bao gồm việc kiểm toán các lĩnh vực của họ. Chẳng hạn, khi sử dụng Dịch vụ Azure Active Directory, CSP và khách hàng phải xem xét mảng Quản lý danh tính và quyền truy cập; cấu hình của các dịch vụ như xác thực đa yếu tố phụ thuộc vào khách hàng nhưng việc đảm bảo chức năng hiệu quả là trách nhiệm của Microsoft.

Hiểu được trách nhiệm của nhà cung cấp của người dùng kết thúc ở đâu và trách nhiệm của người dùng bắt đầu ở đâu là rất quan trọng để triển khai bảo mật thành công trong môi trường đám mây. Các định nghĩa về mô hình bảo mật chia sẻ trách nhiệm có thể khác nhau giữa các nhà cung cấp dịch vụ và có thể thay đổi thuộc vào việc người dùng đang sử dụng cơ sở hạ tầng dưới dạng dịch vụ (IaaaS) hay nền tảng dưới dạng dịch vụ (PaaS) và câu trả lời không phải lúc nào cũng rõ ràng.

Khách hàng phải đảm bảo rằng giải pháp và dữ liệu của họ được xác định, gắn nhãn và phân loại chính xác một cách an toàn để tuân thủ tất cả các yêu cầu, cho dù họ sử dụng mô hình tại chỗ hay đám mây. Khách hàng phải luôn có khả năng phân biệt giữa dữ liệu khách hàng nhạy cảm và nội dung được thiết kế để công khai. Các giải pháp SaaS như Office 365 và Dynamics 365 cung cấp khả năng bảo vệ dữ liệu của khách hàng, chẳng hạn như Office Lockbox và Data Loss Prevention, nhưng khách hàng phải là người quản lý, phân loại và định cấu hình các giải pháp để giải quyết các yêu cầu tuân thủ và bảo mật riêng của họ.

Đối với các giải pháp PaaS, trách nhiệm giải trình của khách hàng đối với việc phân loại và quản lý dữ liệu phải được xem xét như một thành phần quan trọng của quy trình lập kế hoạch. Trong các trường hợp như vậy, khách hàng phải xác định và thiết lập quy trình để bảo vệ dữ liệu của họ cũng như dữ liệu và bộ tính năng của giải pháp.

Khách hàng có trách nhiệm định cấu hình và bảo vệ dữ liệu được lưu trữ và truyền đi khi sử dụng mô hình dịch vụ IaaS, mô hình này cũng bao gồm các khả năng như máy ảo, lưu trữ và kết nối mạng. Việc phân loại dữ liệu phải được xem xét ở tất cả các lớp của giải pháp khi sử dụng giải pháp dựa trên IaaS. Cách dữ liệu được lưu trữ trong dịch vụ được bảo vệ có thể bị ảnh hưởng bởi máy chủ được định cấu hình sai. Khách hàng phải kiểm tra tất cả các máy ảo đã triển khai trong các giải pháp của họ để tuân thủ các yêu cầu này.

Việc chia sẻ trách nhiệm giữa CSP và khách hàng có thể được minh trong triển khai dịch vụ web bằng SaaS. Khách hàng phải thay đổi cấu hình để tuân thủ yêu cầu của mình vì dịch vụ web Azure được công khai để xem mặc định rằng nó có thể phù hợp hoặc không phù hợp với yêu cầu của họ. Việc các giải pháp PaaS không yêu cầu khách hàng tự triển khai các cấu hình bảo mật giống như triển khai cơ sở hạ tầng, chẳng hạn như máy ảo, là một lợi thế của chúng. Các ví dụ bao gồm quản lý bản vá, phần mềm chống phần mềm độc hại và cấu hình cơ bản. Ngoài ra, các báo cáo kiểm toán tuân thủ của CSP có thể được sử dụng để bổ sung cho việc triển khai của khách hàng nhằm tuân thủ các nghĩa vụ và nỗ lực tuân thủ.

Các nhà cung cấp đám mây phải cam kết bằng văn bản với khách hàng về cách họ sẽ bảo mật và duy trì quyền riêng tư của dữ liệu khách hàng được lưu trữ trong đám mây, mặc dù thực tế là họ chịu trách nhiệm phân loại dữ liệu của họ. Thông tin về các biện pháp bảo mật và quyền riêng tư, giới hạn sử dụng dữ liệu và tuân thủ quy định phải được đưa vào các cam kết này. Để khách hàng có thể xác minh hiệu quả thực hành của nhà cung cấp mây, các nhà cung cấp mây cũng nên cung cấp các chứng nhận và báo cáo kiểm tra chứng minh việc tuân thủ các tiêu chuẩn như Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) và các biện pháp kiểm soát như Viện Kiểm soát Tổ chức Dịch vụ CPA của Hoa Kỳ (SOC1 và SOC2). Thông tin này sẽ giúp khách hàng hiểu liệu nhà cung cấp mây có tuân thủ các yêu cầu bảo vệ dữ liệu bắt buộc theo phân loại dữ liệu hay không. Khách hàng không thể chuyển dữ liệu của họ sang nhà cung cấp mây không thể giải quyết nhu cầu bảo vệ dữ liệu của họ.

Mặc dù cách diễn đạt tương tự nhau, các thuận chia sẻ trách nhiệm vẫn để ngỏ nhiều vấn đề cần thảo luận và giải thích. Điều quan trọng là phải hiểu rằng khách hàng và nhà cung cấp dịch vụ đám mây của họ không bao giờ chia sẻ trách nhiệm đối với một khía cạnh cụ thể của hoạt động bảo mật khi thảo luận về trách nhiệm chung. Những rủi ro là quá đáng sợ để tưởng tượng khi cả hai bên giả định không chính xác về trách nhiệm bảo mật của họ.

Hãy xem xét nền tảng AWS để hiểu rõ hơn về điều này. Bất kỳ khách hàng nào đang sử dụng gói Hỗ trợ cơ bản đều có quyền kiểm tra cốt lõi do AWS Trusted Advisor thực hiện. Mỗi lệnh gọi API mà mọi dịch vụ thực hiện được ghi lại bởi Amazon CloudTrail, điều này rất quan trọng để kiểm tra hậu kỳ. Ngoài ra, bằng cách theo dõi liên tục nhật ký luồng VPC và nhật ký DNS, GuardDuty chủ động xác định các điểm bất thường. Ngoài ra còn có dịch vụ quản lý lỗ hổng bảo mật Inspector tự động đánh giá bảo mật dựa trên các agent. Điều này nghe giống như một kế hoạch bảo mật toàn diện; không phải mọi phiên bản EC2 đều đi kèm với hệ thống chống virus/Host IDS dựa trên máy chủ. Các khách hàng sẽ cài đặt phần mềm chống virus phù hợp nếu họ phát hiện ra điều này. Tuy nhiên, nếu nhà cung cấp dịch vụ không thông báo về điều này và cho rằng khách hàng sẽ biết về điều đó, thì hậu quả là rất nghiêm trọng.

Dịch vụ thư điện tử trong Office 365 là một minh. Tích hợp với Active Directory cho thông tin nhân viên/người dùng, cài đặt máy chủ Windows thực cho hộp thư, cài đặt máy chủ Edge Transport để xử lý lọc thư rác và luồng thư, và triển khai ứng dụng email khách cho PC và máy tính xách tay là một số nhiệm vụ cần thiết để triển khai email Microsoft Exchange truyền thống.

Các doanh nghiệp khẳng định rằng việc chuyển Exchange sang đám mây đơn giản chỉ yêu cầu: Tích hợp Active Directory tại chỗ với các dịch vụ đám mây; Cấu hình lọc thư rác và các luồng thư khác trên dịch vụ đám mây. Điều này là do không có máy chủ hoặc máy khách để triển khai trong môi trường đám mây.

Do đó, các doanh nghiệp bỏ qua tất cả các biện pháp bảo mật tại chỗ mà Exchange truyền thống yêu cầu. Ví dụ, tường lửa được thiết kế để chặn thông tin đăng nhập từ các vị trí cụ thể, chẳng hạn như các quốc gia bị cấm vận. Thông tin đăng nhập từ địa chỉ IP đáng ngờ hoặc đã biết độc hại bị chặn bởi hệ thống ngăn chặn xâm nhập. Bằng cách sử dụng dữ liệu xác thực bị xâm phạm, nền tảng phân tích hành vi có thể xác định các mối đe hoặc tấn công nội bộ. Các giải pháp quản lý nhật ký và thông tin bảo mật (SIEM) và quản lý thông tin bảo mật cảnh báo quản trị viên về những thay đổi đối với các cấu hình quan trọng. Những biện pháp này thường được coi là tự nhiên trong ngữ cảnh của bất kỳ ứng dụng cụ thể nào vì chúng bảo vệ tất cả các ứng dụng được sử dụng trong trung tâm dữ liệu của công ty.

Quản trị cấu hình (lưu ý rằng đây không phải là cấu hình sai khi mới triển khai) là một vấn đề khác có tác động đáng kể đến mức độ an toàn bảo mật của ứng dụng điện toán đám mây. Nhiều doanh nghiệp lập kế hoạch tài nguyên CNTT của họ với giả định rằng phần lớn nỗ lực và tài nguyên của họ sẽ cần thiết trong quá trình triển khai ban đầu để sẵn sàng sử dụng điện toán đám đám mây. Phần lớn đều cho rằng công tác bảo trì thường xuyên sẽ cần ít tài nguyên hơn một cách đáng kể một khi các cài đặt dịch vụ khác nhau được định cấu hình theo nguyên tắc hợp lý. Xét cho cùng, nhân viên CNTT cần tích lũy kinh nghiệm và làm quen với dịch vụ đám mây như một phần của quá trình thiết lập ban đầu. Đáng buồn thay, điều này là không đúng với thực tế. Đó là một trong những lý do điển hình nhất khiến các doanh nghiệp "đuối dần" trong việc thực hiện trách nhiệm bảo mật của họ.

Mặc dù ban đầu các cài đặt được xác định rõ ràng, nhưng các doanh nghiệp sẽ tự nhiên rời xa chúng khi họ cố gắng hỗ trợ tốt hơn cho toàn bộ hoạt động kinh doanh. Ngoài ra, những sửa đổi tạm thời đó sẽ trở thành vĩnh viễn nếu các điều chỉnh không được khôi phục về cài đặt gốc. Mặc dù các quản trị viên có thể và nên thường xuyên kiểm tra các thay đổi cấu hình, nhưng những nỗ lực này hiếm khi được thực hiện với bất kỳ hiệu quả nào do lượng tài nguyên cần thiết. Chẳng hạn, tìm kiếm lý do tại sao một cấu hình đã bị thay đổi sáu tháng trước bởi một quản trị viên không còn làm việc cho công ty có thể rất tốn thời gian. Thật không may, không phải lúc nào cũng là một chọn để hoàn nguyên cấu hình mà không kiểm tra kỹ lưỡng. Như nhiều quản trị viên CNTT có thể thừa nhận, một hành động như vậy thường dẫn đến một cuộc điện thoại vào đêm muộn từ một giám đốc điều hành đang tức giận, người vừa nhận ra rằng không thể truy cập dữ liệu quan trọng cần thiết cho cuộc họp hội đồng quản trị vào ngày hôm sau. Do đó, nhiều quản trị viênCNTT chỉ đơn giản làm theo phương châm "không sửa nếu nó không hỏng". Một số doanh nghiệp trì hoãn việc kiểm tra sự thay đổi cấu hình trong quá trình thực hiện kiểm tra hàng quý, nhưng trong phần lớn các trường hợp họ chỉ sửa các cài đặt khi có vấn đề phát sinh. Cả hai cách tiếp cận này đều dẫn đến sai lệch cấu hình, làm tăng chi phí tài chính đáng kể của công ty.

Ngoài ra, điện toán đám mây tự nó gây ra các vấn đề bảo mật. Dưới đây là hai trong số rất nhiều ví dụ điển hình về vấn đề này. Ví dụ đầu tiên là vụ việc năm 2015 một tin tặc sử dụng Google Apps (cụ thể là Google Drive) để thực hiện các cuộc tấn công lừa đảo. Tin tặc đã tạo một trang đăng nhập giả mạo trên Google Docs và sử dụng nó để lấy thông tin đăng nhập. Trang đăng nhập giả mạo trông giống như thật, bao gồm cả việc sử dụng URL của Google (google.com/...). Trước khi các nhà cung cấp bảo mật của Google cảnh báo về cuộc tấn công, họ đã không chú ý đến nó. Về mặt kỹ thuật, cuộc tấn công này không ảnh hưởng đến tính khả dụng và bảo mật của dịch vụ Google Apps vì không có lỗi nào trong mô hình chia sẻ trách nhiệm bảo mật. Tuy nhiên, Google đã phải phản ứng nhanh chóng để đảm bảo rằng cơ sở hạ tầng của họ không bị sử dụng cho mục đích xấu và để khôi phục niềm tin chung vào dịch vụ.

Ví dụ thứ hai không đề cập đến bất kỳ chiến lược tấn công điển hình nào. Một công ty sản xuất đã di chuyển nhiều ứng dụng nội bộ của họ vào năm 2019 cũng như các ứng dụng dành cho đối tác của họ lên đám mây. Trước khi nghỉ việc, một nhân viên bất mãn đã khởi chạy hàng chục phiên bản Amazon Web Service (AWS). Chỉ sau khi họ nhận được một hóa đơn khổng lồ từ Amazon, công ty mới biết về vụ việc. Trong trường hợp này, người dùng khởi chạy phiên bản AWS là người dùng hợp lệ và có đặc quyền. Tuy nhiên, công ty không có bất kỳ hệ thống tự động nào để phát hiện các hoạt động bất thường, chẳng hạn như khởi chạy nhiều phiên bản AWS. Tác động của vụ việc: Tổng số tiền không được tiết lộ, nhưng ước tính lên đến hàng triệu USD Mỹ.

Cần có sự thay đổi trong cách tiếp cận và triển khai của doanh nghiệp để đảm bảo an toàn cho ứng dụng đám mây

Theo Gartner, 99% lỗi bảo mật đám mây sẽ do người dùng gây ra vào năm 2025. Môi trường thử nghiệm và phát triển đám mây được thiết lập mà không thực thi các chính sách bảo mật thích hợp có thể trở thành cổng truy nhập vào hệ thống sản xuất hoặc kho lưu trữ mã độc quyền của công ty cho những kẻ xâm phạm trong tương lai. Do đó, việc quản lý cấu hình môi trường và quản lý danh tính và quyền truy cập phải được quản lý chặt chẽ, đôi khi phải trả giá bằng sự thuận tiện không giới hạn. Để triển khai bảo mật đám mây của người dùng thành công, việc quản lý truy cập tự động, tập trung và tạo môi trường theo chính sách là rất quan trọng.

Ngoài ra, với điện toán đám mây, vấn đề bảo mật của doanh nghiệp phải thay đổi một cách căn bản với rất nhiều vai trò mới cho đội ngũ CNTT. Theo Google, có thể thấy những vai trò mới (hoặc nhiệm vụ mới cho những vai trò đã có trong hệ thống) như sau:

Quản lý rủi ro và chính sách: Tìm hiểu các mục tiêu quản lý rủi ro và quản lý chính sách. Sửa đổi và cấu trúc lại các chính sách và tiêu chuẩn an ninh để tập trung vào các biện pháp thích hợp, sử dụng các mô hình an ninh đám mây.

Định nghĩa các phương pháp tổ chức điển hình về an ninh đám mây trong kiến trúc và thiết kế an ninh. Cung cấp các thiết kế tiêu chuẩn kết hợp với các hàng rào bảo vệ, cho phép triển khai bảo mật đám mây nhanh chóng và hiệu quả.

Kiểm thử bảo mật: Gần hơn với nhóm phát triển và tích hợp chặt chẽ hơn vào toàn bộ chu trình phát triển phần mềm. Đối với các vòng lặp phát triển liên tục, hãy thực hiện các kiểm thử tập trung vào bảo mật.

Vận hành an ninh: Bằng cách sử dụng các phép đo "cloud-native" để phát hiện, phản ứng với các sự kiện, sự cố và thông tin tình báo về nguy cơ an ninh, việc giám sát được mở rộng sang đám mây.

Đảm bảo an ninh: Để đảm bảo tuân thủ các kiến trúc và các biện pháp kiểm soát đều được thực hiện thường xuyên, triển khai giám sát liên tục, sử dụng cấu hình đám mây và tiếp cận dựa trên dữ liệu.

Phát triển các công cụ an ninh "cloud-native" bằng kỹ thuật an ninh. Làm việc với bộ phận Kỹ thuật hạ tầng để xác định chính sách an ninh trực tiếp trong mã ứng dụng.

Kỹ thuật hạ tầng: Bằng cách sử dụng phương pháp "hạ tầng dưới dạng mã", kỹ thuật hạ tầng được sử dụng để tạo và vận hành hạ tầng đám mây và các dịch vụ hỗ trợ. Phương pháp này kết hợp chính sách trực tiếp trong mã nguồn và giảm thiểu thủ công, rất quan trọng đối với sự thành công của đám mây. Đào tạo và nâng cao trình độ là đặc biệt quan trọng cho vai trò này vì tổ chức có thể chưa có nhân viên nào có những kỹ năng này.

Phát triển các ứng dụng để triển khai trên cơ sở hạ tầng đám mây. Áp dụng các mốc thời gian tăng tốc và triển khai phiên bản mới liên tục. Phối hợp chặt chẽ hơn với các nhóm bảo mật trong suốt chu trình phát triển phần mềm.

Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống